安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > 科普哈希长度扩展攻击(Hash Length Extension Attacks)

科普哈希长度扩展攻击(Hash Length Extension Attacks)

时间:2014-05-19来源: 作者:Ettack点击:
貌似大多数渗透师都很少测试密码学方面的漏洞。我一直都对密码学颇有兴趣,于是决定研究web应用开发者误用加密算法的情况,以及如何利用这些漏洞。一月份的时候,我研究了下对于一些比较弱的Message Authenticatio…

貌似大多数渗透师都很少测试密码学方面的漏洞。我一直都对密码学颇有兴趣,于是决定研究web应用开发者误用加密算法的情况,以及如何利用这些漏洞。

//内容来自AnYun.ORG

一月份的时候,我研究了下对于一些比较弱的Message Authentication codes(MACs)[译者注:关于MAC与hash的区别参见此链接],如何进行哈希长度扩展(hash length extension)攻击。我发现一些很不错的论文和博文,谈到了这种攻击方式。然而,针对哈希长度扩展攻击的具体细节,却鲜有资料。在这篇文章中,我将会对此进行详细解释。

//本文来自安云网

Message Authentication Codes 101 //内容来自安云网

Message authentication codes (MACs)是用于验证信息真实性的。最简单的MAC算法是这样的:服务器把key和message连接到一起,然后用摘要算法如MD5或SHA1取摘要。例如,假设有一个网站,在用户下载文件之前需验证下载权限。这个网站会用如下的算法产生一个关于文件名的MAC:

//本文来自安云网

def create_mac(key, fileName)
   return Digest::SHA1.hexdigest(key + fileName)
End 

//内容来自安云网

最终产生的URL会是这样: //本文来自安云网

http://example.com/download?file=report.pdf&mac=563162c9c71a17367d44c165b84b85ab59d036f9 //内容来自AnYun.ORG 

当用户发起请求要下载一个文件时,将会执行下面这个函数:

//本文来自安云网

def verify_mac(key, fileName, userMac)
    validMac = create_mac(key, filename)
    if (validMac == userMac) do
        initiateDownload()
    else
        displayError()
    end
End //本文来自安云网 

这样,只有当用户没有擅自更改文件名时服务器才会执行initiateDownload()开始下载。实际上,这种生成MAC的方式,给攻击者在文件名后添加自定义字串留下可乘之机。

//本文来自安云网

Length Extension Attacks, The Simple
Explanation

//本文来自安云网

哈希摘要算法,如MD5,SHA1, SHA2等,都是基于Merkle–Damgård结构。这类算法有一个很有意思的问题:如果你知道message和MAC,只需再知道key的长度,尽管不知道key的值,也能在message后面添加信息并计算出相应MAC。 //本文来自安云网

Example: message + padding +extension

//本文来自安云网

继续用上面的例子,对文件下载的功能进行长度扩展攻击:

//内容来自AnYun.ORG

http://example.com/download?file=report.pdf%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%A8/../../../../../../../etc/passwd&mac=ee40aa8ec0cfafb7e2ec4de20943b673968857a5 //本文来自安云网 

Length Extensions In Depth //内容来自安云网

为了理解这种攻击方式,你必须先了解hash函数的内部原理。

//本文来自安云网

How Hash Algorithms Work //内容来自AnYun.ORG

哈希函数以区块为单位操作数据。比如说,MD5, SHA1, SHA256的区块长度是512 bits 。大多数message的长度不会刚好可以被哈希函数的区块长度整除。这样一来,message就必须被填充(padding)至区块长度的整数倍。用前面文件下载的MAC的例子来说,填充后的message是这样的(‘x'表示key):

//内容来自AnYun.ORG

xxxxxxxxxxxreport.pdf\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA8 //内容来自安云网 

在本例所用的SHA1算法中,哈希值由五组整数构成。一般我们看到的形式是把这五个整数转换为16进制然后连接到一起。运行算法时,初始值(又叫registers)被设置为这组数:67452301, EFCDAB89,
98BADCFE, 10325476, C3D2E1F0. 紧接着,填充message,再将其分割为512bits的区块。算法轮流操作每个区块,进行一系列的计算并更新registers的值。一旦完成了这些运算,registers里的值就是最终的哈希值。 //内容来自AnYun.ORG

Calculating An Extension

//本文来自安云网

计算扩展值得第一步是创建一个新的MAC。我们首先对待扩展的值:上例中的‘/../../../../../../../etc/passwd’进行哈希摘要。但是,在进行摘要之前,我们要把registers里的初始值设置为原始message的MAC。你可以将其想象为让SHA1函数从服务器上的函数运行结束的地方继续进行。 //内容来自安云网

攻击者的 MAC = SHA1(extension + padding) <- 覆盖registers初始值

//内容来自安云网

这个攻击有个前提,在传入服务器的哈希函数时,扩展值必须存在于单独的区块中。所以我们的第二步,就是计算出一个填充值使得 key + message + padding == 512 bits 的整数倍。在此例中,key是11个字符的长度。因此填充之后的message是这样的: //内容来自安云网

report.pdf\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xA8 //内容来自AnYun.ORG 

传送到服务器的填充及扩展之后的message以及新的MAC: //内容来自安云网

http://example.com/download?file=report.pdf%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%A8/../../../../../../../etc/passwd&mac=ee40aa8ec0cfafb7e2ec4de20943b673968857a5 
//本文来自安云网

服务器要进行摘要运算的被攻击者篡改过的message如下: //本文来自安云网

secret + message + padding to the next block +
extension + padding to the end of that block. 
//本文来自安云网

服务器算出的哈希值将是ee40aa8ec0cfafb7e2ec4de20943b673968857a5,正好与我们添加扩展字串并覆盖registers初始值所计算出来的一样。这是因为攻击者的哈希计算过程,相当于从服务器计算过程的一半紧接着进行下去。 //本文来自安云网

How To Run The Attack

//内容来自AnYun.ORG

为了简单,在这个例子中我透露了密钥长度是11位。在现实攻击环境中,攻击者无法获知密钥长度,需要对其长度进行猜测。

//本文来自安云网

继续之前的例子,假设当MAC验证失败时,这个存在漏洞的网站会返回一个错误信息(HTTP response code 或者response body中的错误消息之类)。当验证成功,但是文件不存在时,也会返回一个错误信息。如果这两个错误信息是不一样的,攻击者就可以计算不同的扩展值,每个对应着不同的密钥长度,然后分别发送给服务器。当服务器返回表明文件不存在的错误信息时,即说明存在长度扩展攻击,攻击者可以随意计算新的扩展值以下载服务器上未经许可的敏感文件。

//本文来自安云网

How To Defend Against This Attack //内容来自安云网

解决这个漏洞的办法是使用HMAC算法。该算法大概来说是这样 :MAC =
hash(key + hash(key + message))
,而不是简单的对密钥连接message之后的值进行哈希摘要。

//内容来自安云网

具体HMAC的工作原理有些复杂,但你可以有个大概的了解。重点是,由于这种算法进行了双重摘要,密钥不再受本文中的长度扩展攻击影响。HMAC最先是在1996年被发表,之后几乎被添加到每一种编程语言的标准函数库中。 //本文来自安云网

Summary

//内容来自AnYun.ORG

尽管仍有一些疯狂的人类在写自己的加密算法,绝大多数人已经渐渐发现自己写加密算法不是什么好主意。然而,不单纯的套用公开的加密算法也是有其意义的,前提是你能够正确的使用这些加密算法。除非你彻底吃透你使用的加密算法的原理,并懂得如何正确使用,否则还是直接用那些经过了专业级审查的高级算法库要安全些。

//内容来自AnYun.ORG

[via: whitehatsec translate by: Ettack] //本文来自安云网

//内容来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容